《中华人民共和国个人信息保护法》于2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议表决通过,自2021年11月1日起施行,目前已经生效实施超过两年。两年间,国内外数字经济发展格局趋势出现了复杂的变化,但个人信息保护已然成为数字经济发展中的基础共识。个人信息保护立法、司法、执法、行业不断深化2021年《个人信息保护法》所设定的系列制度和个人信息权利。我们在2022年底发布了《个人信息保护法》实施一周年的观察总结,在2023年6月底发布了《个人信息保护法》2023年上半年度实施报告,而本文将通过十五个关键词来解析《个人信息保护法》生效两年来主要变化,以记录中国《个人信息保护法》的进程。
关键词一:21部配套立法
从《个人信息保护法》发布以来,相继发布或正在制定的配套立法共有21部,主要发布部门有国家互联网信息办公室(以下简称网信办)、工信部、公安部、中国人民银行、银保监会、国家市场监督管理总局等部委。主要内容涵盖未成年人网络保护、征信信息、深度合成、人脸识别、数据出境、个人信息保护认证、算法推荐服务、生成式人工智能、金融领域个人信息保护、个人信息保护合规审计等。
关键词二:数据入表
财政部于2023年8月21日发布《企业数据资源相关会计处理暂行规定》(以下简称《规定》),旨在加强信息披露,鼓励数据资源入表。《规定》回答了“数据资源是否可以作为资产确认、作为哪类资产确认和计量以及如何进行相关信息披露等相关会计问题”。需要注意到的是,《暂行规定》还不是真正意义上的“数据资产会计准则”。《暂行规定》目前只给出了“满足资产确认条件且价值确定的数据资源如何计入报表”的解决思路,但是没有解决“数据价值如何确定”的问题。目前国际上也普遍认同加强信息披露是短期内务实的解决路径,《规定》是进一步强化数据资源相关信息披露的举措。
信息披露分为按照相关会计准则进行的强制披露,以及根据实际情况自愿披露数据资源(含未作为无形资产或存货确认的数据资源)的应用场景或业务模式、原始数据类型来源、加工维护和安全保护情况、涉及的重大交易事项、相关权利失效和受限等相关信息,以全面地反映数据资源对企业财务状况、经营成果等的影响。
关键词三:数据交易
《个保法》奠定了个人信息保护的主基调,数据交易时需确保合规。加快培育数据要素市场,建立数据要素价值转化体系已经成为国家主要政策导向。据不完全统计,我国已经成立了40家数据交易机构,主要分布在华中、华东和华南地区。同时,各地也纷纷出台数据交易相关细则,鼓励公共数据、企业数据、个人数据分类分级确权授权。尽管《数据二十条》以其独特的姿态向市场彰显促进数据流通的决心,但在个人信息方面,仍然采取了保守的态度。其明确提出要“加大个人信息保护力度,推动重点行业建立完善长效保护机制,强化企业主体责任,规范企业采集使用个人信息行为。”同时,提出要“创新技术手段,推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私。”可见,在将个人信息投入市场进行交易时,首要条件仍然要满足合规性的要求。如何将个人信息合规流入市场或者准确检测流入市场的个人信息的合规性,将是有意义的探索。
关键词四:包容审慎
今年4月11日,《生成式人工智能服务管理办法(征求意见稿)》(以下简称“征求意见稿”)发布,征求意见稿引发了社会各界的关注和讨论。而后发布的《暂行办法》不仅内容上有大幅变更,同时标题也增加了“暂行”二字。由《生成式人工智能服务管理办法》改为《生成式人工智能服务管理暂行办法》。暂行办法的模式在国外被称为“落日条款”,意为太阳终会落下,暂行办法有其终止的时间。从网信发布的正式文本来看,包容审慎分类分级成为AIGC规制的主基调,同时采取特定行业主管部门优先的做法,以平衡多头监管的问题。在个人信息方面,并没有对AIGC使用个人信息有豁免的规定,仍然强调最小必要、合法正当。
关键词五:跨境规则转向
2023年9月28日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》(下文简称《规定》),拟对数据出境机制进行重大调整。从目前条文来看,整体上表现为“放松数据跨境监管”的迹象。特别是《规定》第4条规定,基于合同所需、人力资源管理所必需以及紧急情况下为保护自然人的生命健康和财产安全所必需,这三种必需情况需要向境外提供个人信息的,不适用跨境规则。从整体规制的思路来看,网信此次在数据出境的制度调整可以归纳为:重点管特殊主体(国家机关及关键信息基础设施运营者)、特殊数据(重要数据,党政军和涉密单位敏感信息、敏感个人信息)、大量个人信息出境量级(出境数量1万以上)。
关键词六:未成年个人信息保护
2023年10月16日,国务院总理李强签署第766号国务院令,公布《未成年人网络保护条例》(以下简称《条例》),自2024年1月1日起施行。伴随着《条例》的通过,有关未成年人的个人信息保护规则趋于完整。此前,国家互联网信息办公室曾经出台《儿童个人信息网络保护规定》,主要保护不满十四周岁的未成年人,而本次的《条例》则是包括所有未成年人,扩大了保护范围。《条例》明确提出,1)企业要建立未成年人个人信息保护和数据安全技术保障机制;2)每年对未成年人个人信息保护进行合规审计,结果报网信部门;3)在满足特定条件下,每年发布专门的未成年人网络保护社会责任报告,并接受社会监督;4)特别的,要求网络产品和服务提供者不得通过自动化决策方式向未成年人进行商业营销。
关键词七:创新监管
2023年08月21日,工信部公开征求对《关于创新信息通信行业管理优化营商环境的意见(征求意见稿)》的意见(后文简称《意见》),《意见》提出“创新柔性监管方式,完善行政指导、行政约谈等柔性执法体系,加强对相关企业的合规指导,按照合法、审慎、科学的原则,细化依法实施“轻微违法不罚”的具体标准,探索建立合规整改、合规不处罚等行业监管配套制度”。同时,还提出要“规范行政监管执法,持续开展专项执法培训,不断完善行政执法程序,优化执法方式,确保执法过程公正公开、执法程序严谨规范。”虽然《意见》暂未发布,不过2023年11月23日,工业和信息化部网络安全管理局发布《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》,明确数据安全行政处罚的字细化规则,如明确管辖机关,一事不二罚,后果判定标准以及不予处罚的情形,试图进一步将行政执法明确化、规范化。
关键词八:执法全覆盖
《个人信息保护法》生效以来,个人信息保护执法实现“横向到边、纵向到底”全覆盖。中央层面,除网信部门外,工信、市监、金融、教育、邮政、人社等多行业主管部门均已参与到个人信息保护的执法和监督活动当中。执法对象向行业重点领域和方向发展。在地方层面,地方网信办、通信管理局、市场监督管理部门、公安部门等地方政府组成部门开展了大量的个人信息保护和监督工作,此外,地方的其他行业主管部门也负责本行业的个人信息保护和监督工作。例如,福建省石狮市住建局对某物业公司强制要求外来人员扫码登录其公司的App进行登记的违法行为责令其立即整改。
从行业角度观察,在《个人信息保护法》施行以来,相关的执法活动覆盖了各个行业。在横向上,执法对象涵盖了交通出行、餐饮服务、金融、教育、停车扫码、少儿学习培训、网络理财小贷、房产中介、租借充电器、商超购物、汽车4S店等多个行业。同时也包括了政府委托开发的政务服务类App,实现了“横向到边”。在纵向上,相关部门即针对滴滴出行等互联网大型企业以及每日优鲜、世纪佳缘等用户量较大的App开展执法活动,也针对本地餐饮企业、汽车销售门店、物业服务企业以及体量较小的App、小程序进行执法和监督,从而实现执法活动的“纵向到底”。
关键词九:巨额罚款来袭
《个人信息保护法》施行以来,执法手段呈现出“刚柔并济”的特点。一方面,监管机关频频动用罚款等刚性手段对违规企业和个人进行处罚。其中最具标志性的当属国家网信办对滴滴公司开出的80.26亿天价罚单,这意味着《个人信息保护法》第六十六条第二款所规定的巨额罚款条款在施行首年便被激活,且这一罚款金额在全球范围内亦位居个人信息保护领域罚款金额之最。同时,今年9月,因违反《个人信息保护法》等,知网(CNKI)被罚5000万元,也已经达到罚款的另一顶格。
另一方面,通报、警告、责令改正等柔性手段成为主要的执法方式,且监管部门还以大型互联网平台企业为抓手,通过行政指导等手段推广个人信息保护的良好实践。以工信部门和网信部门对违规App的通报为例,其在检测中发现App存在违规情形后,首先会对违规App提出整改要求,唯有在限期内未按要求完成整改的App才会被公开通报,且通报中仍会要求这些App在限期内完成整改落实工作,若仍未完成整改才会依法依规对其采取约谈、下架乃至罚款等措施。
关键词十:地方聚焦场景执法
除中央开展执法活动外,地方监管也紧跟中央执法步调,开展专项执法或者场景化执法。例如,2023年6月16日下午,在国家网信办网络执法与监督局全面支持和指导下,上海市网信办、市市场监管局共同启动“亮剑浦江·消费领域个人信息权益保护专项执法行动”[1]。专项执法行动聚焦餐饮店、停车扫码、少儿学习培训、网络理财小贷、房产中介、租借充电器、商超购物、汽车4S店等八大消费场景,对个人信息领域的“过度采、强制要、诱导取、违规用”等违法行为开展集中整治。在执法过程中形成的监管经验和要求,被沉淀为合规指引和倡议。无独有偶,北京市网信办联合市交通委、市商务局、市市场监管局、人民银行北京市分行和市消协等相关部门,对市民日常生活消费常用二维码、小程序进行了抽样测试,并对存在强制关注、违规收集使用消费者个人信息等问题的经营者展开联合约谈。并发布了《北京市扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》。
关键词十一:个人信息保护公益诉讼
关于个人信息保护公益诉讼:从最高人民检察院发布的数据来看,《个人信息保护法》生效之后,个人信息保护公益诉讼的案件出现大幅增长。
2019年以来,全国检察机关立案办理个人信息保护领域公益诉讼案件2019年立案147件,2020年立案750件,2021年立案2276件,2022年6000余件。
公益诉讼案件数量的激增,既是因《个人信息保护法》对检察机关提起公益诉讼的明确授权,更是因最高检对个人信息保护公益诉讼工作的高度重视。在《个人信息保护法》出台后,最高检先后下发了《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》、《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》,要求检察机关要发挥,公益诉讼制度在个人信息安全溯源治理方面的优势,积极履职[2],同时不断完善“刑事检察、公益诉讼检察协作机制”[3];此外,这两份通知还明确了检察机关公益诉讼应当关注的重点行业、重点领域以及重点群体,包括“敏感个人信息”、“儿童、妇女、残疾人等特殊群体的个人信息”、“教育、医疗等重点领域的个人信息”以及100万人以上的大规模个人信息处理活动。
关键词十二:个人信息保护诉讼
《个保法》生效之后,个人信息相关案例并没有呈现爆发式增长,但每一起个人信息保护案例都会引发公众的广泛关注甚至是讨论。目前,已经知悉的个人信息诉讼案件聚焦个人信息处理合法性基础争议、个人信息权利行使限制、小区物业中人脸识别应用等方面。
关键词十三:双清单上线
2021年11月1日,工信部发布《工业和信息化部关于开展信息通信服务感知提升行动的通知》,强调优化隐私政策和权限调用展示方式,建立个人信息保护“双清单”,对39家公司共52款APP提出了先行先试的要求。个人信息保护“双清单”是指建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询。已收集个人信息清单应简洁、清晰列出APP已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。各家企业积极响应工信要求,纷纷上线双清单,更好保障用户知情权。
在工信部的试点之后,2022年7月27日上海市通信管理局发布公告,决定自即日起到2022年10月底,针对下载或安装超500万次的APP,开展“双清单”等5项重点任务。自此,上海对双清单的适用范围进行了拓展。
关键词十四:外部独立监督机构
《个人信息保护法》要求大型互联网平台成立外部独立监督机构,2021年腾讯、携程发布隐私保护外部监督员招募通知,招募条件为年满十八周岁、有公益心、乐于研究互联网产品的个人信息保护等。同时,外部监督委员会的组成成员和企业没有雇佣关系,带有一些志愿和公益的性质,有点类似于“志愿者”,没有工资,可以兼职,不限地点。在2022年9月,经蚂蚁集团董事会、董事会隐私保护及数据安全委员会批准,蚂蚁集团个人信息保护监督委员会正式设立。2023年3月,蚂蚁集团个人信息保护监督委员会2023年第一次会议在杭州召开,会上通过了个人信息保护监督委员会2023年工作建议。
关键词十五:个性化推荐便捷关闭
截至2023年10月26日,抖音、支付宝、京东、拼多多、今日头条、微信、淘宝、百度、大众点评、微博、小红书、招商银行、云闪付等APP均已上线个性化推荐/广告管理,允许用户在后台一键关闭“个性化推荐”,个人隐私保护迈出一大步。
《个人信息保护法》第24条对自动化决策进行了规制,要求个人信息处理者在通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。在企业应用中,往往以“个性化推荐”作为应用样态,且个性化推荐也成为监管重点。便捷关闭个性化推荐为保障用户权益的实质之举。
附录一:配套立法情况
截止目前为止,正在制定中的配套行政法规有1部:《网络数据安全管理条例》;已经发布的行政法规1部,《未成年人网络保护条例》。已经发布的配套部门规章有8部,即《互联网信息服务算法推荐管理规定》、《数据出境安全评估办法》、《互联网用户账号信息管理规定》、《征信业务管理办法》《生成式人工智能服务管理暂行办法》《个人信息出境标准合同办法》《互联网信息服务深度合成管理规定》《银行保险机构消费者权益保护管理办法》;正在制定或修订中的5部,正在制定的为《金融产品网络营销管理办法》,《规范和促进数据跨境流动规定(征求意见稿)》《人脸识别技术应用安全管理规定(试行)(征求意见稿)》《个人信息保护合规审计管理办法(征求意见稿)》,《电信和互联网用户个人信息保护规定》迎来了施行八年来的第一次修订。已经发布的配套规范性文件6部,《互联网弹窗信息推送服务管理规定》、《移动互联网应用程序信息服务管理规定》《银行保险机构信息科技外包风险监管办法》《关于实施个人信息保护认证的公告》《工业和信息化部 国家互联网信息办公室关于进一步规范移动智能终端应用软件预置行为的通告》《关于进一步提升移动互联网应用服务能力的通知》。
部门层面,国务院正在制定中的1部,发布的1部,网信办出台或正在制定中的有13部,人民银行2部、工信部2部,银保监会2部。
附录二:个人信息保护案例介绍
(一)个人信息权利行使的边界—涉及第三人个人信息需要综合判断
张某为了解账号使用情况,要求平台将其自注册以来所有的浏览记录以可编辑的xlsx文件形式发送至指定邮箱,包括所浏览的视频名称、发布时间、播放量、发布者账号名称以及张某观看该视频的具体时间等。
视频平台的运营者A公司表示,用户可通过“观看历史”和“反馈与帮助”等功能自主查阅、复制个人信息,同时视频名称、发布者账号名称等既属于张某的个人信息又是视频发布者的个人信息,为避免侵害视频发布者的个人信息权益,A公司采取提供播放链接的方式向张某提供。张某对该提供形式不予认可,将A公司起诉到法院。
法院认为,“若查阅、复制内容包含着可分割的个人信息,当事人的请求应限于本人的个人信息;若查阅、复制请求指向多主体的个人信息,应该考虑个人信息处理者的提供行为是否在其已取得同意的范围内或属于依法无需获得同意的情形等。如果提供行为会导致他人个人信息权益遭受重大影响,个人信息处理者未征得他人同意不应直接提供。”
(二)个人信息权利起诉前应先向个人信息处理者提出有效的权利响应请求,个人信息处理者明确表示拒绝的,才能提起诉讼
2021年12月,王某为试用某科技公司对外提供的电子合同服务,进入该公司网站,并在该网页“接受试用服务”的对话框中,按要求输入了姓名和联系手机号等信息。
其在网页输入个人信息后不久,便陆续接到某科技公司工作人员的回访电话,甚至接到了其他骚扰电话。王某觉得是某科技公司泄露其个人信息,于是向网页预留的销售电子邮箱发送了一封函件,要求某科技公司删除其个人信息,但迟迟未等到对方回应。王某认为,某科技公司未经同意处理其个人信息,且对其删除个人信息的要求不予回应,构成侵权,故诉至法院,要求某科技公司赔偿损失并履行删除义务。
在判定用户是否向个人信息处理者提出了有效的程序性、保护性权利的申请,法院会审查1)企业是否建立便捷的权利申请受理和处理机制,若无,则直接被认定为忽视用户权利请求;2)若建立了相应机制,用户是否按照指引提交申请,用户若不按照指引申请,则认定用户没有提出有效的权利申请。但个人信息处理者接收并明确表示拒绝的除外。
(三)个人信息权利行使存在限制--王某诉A银行个人征信信息滥用案
2021年11月1日,杭州互联网法院公开开庭审理一起因银行上传不良征信信息引起的个人信息保护纠纷案,并当庭宣判,驳回原告诉讼请求。
本案的借鉴意义为:首先,满足合法性、正当性、必要性要求时,履行法定义务所必需而进行的个人信息处理行为应当得到承认。其次,个人对其个人信息享有的权利要受到其他主体的利益、社会利益、国家利益的限制。最后,损害赔偿责任的承担限于真实的损害发生的情形。
(四)合同所必需的适用途径--吴某诉某公司等非法收集使用个人信息案
原告吴某诉某公司A、公司B与公司C非法收集、留存、使用原告的个人信息,主要涉及姓名和身份证号。
本案主要涉及关联公司的信息共享,公司A向公司B的信息共享未取得个人的单独同意,公司A的《隐私政策》仅进行了模糊告知,不符合《个人信息保护法》中规定的充分、清晰告知义务,也不存在其他合法性基础合法化其共享行为。公司B本身也没有取得处理个人信息的合法性基础,其主张的订立、履行合同所必需的合法性基础,被法院驳回,法院认为公司B在整个“合同”签订过程中并未显名,公司A界面也仅显示公司B为公司A官方支付,用户无法得知其真实的合同签订对象,遑论是为了合同签订所必需。综上,公司A与公司B侵犯了个人信息权益,法院判决其赔礼道歉并删除原告的个人信息。
(五)天津一小区以刷脸作为唯一通行方式被判违法
因将人脸识别作为进出小区的唯一通行验证方式,天津市一物业公司被居民告上法庭。一审法院认为,相关证据不能证明被告侵犯了其隐私权。近日,该案二审作出改判,法院要求物业公司删除原告人脸信息,并为其提供其他出入小区的通行验证方式。
二审判决的突破性在于,法院正确而合理地适用了2021年8月1日施行的《最高人民法院关于审理使用人脸识别技术处理个人信息等相关民事案件适用法律若干问题的规定》中的相关规定,物业公司必须给业主或者其他有权进出的人提供人脸识别之外的其他合理验证方式。
[1] https://www.thepaper.cn/topicList?contid=129107.
[2] 《2019年以来检察机关办理个人信息保护领域公益诉讼案件8361件》,载检察日报第01版,2022年11月10日,http://newspaper.jcrb.com/2022/20221110/20221110_001/20221110_001_9.htm。
[3] 《最高检:严厉打击行业“内鬼”泄露公民个人信息违法犯罪》,载最高人民检察院网站,2022年6月21日,https://www.spp.gov.cn/zdgz/202206/t20220621_560428.shtml。
撰稿 | 石玉珍
编辑 | 沈廖佳
注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。